防火墻技術在計算機網絡安全中的運用探討

王曉玲

（電子科技大學成都學院 四川 成都 610599）

1 引言

網絡使得人們的生活變得更加便捷，但是網絡技術的應用是一把雙刃劍，其也有不好的一方面，尤其是日益嚴重的網絡安全問題，現在已經成為迫切需要解決的問題。作為對網絡新生技術接受能力較高的學生們，網絡安全的建立和普及，也有效促進了網絡安全工作的順利開展，但是當前網絡也面臨著越來越嚴重的網絡安全問題，使得網絡的相關數據時常被嚴重損害[1]。對此，要充分利用和發揮網絡安全技術，從而有效保證企業網絡的安全平穩運行。本文對網絡安全技術進行了討論和研究，并提出了相應的有效策略，以期待能夠幫助網絡的安全平穩運行。

2 網絡的特點和應用

計算機網絡技術的快速發展，極大推動了社會的發展和進步，也使得人們的生活變得更為豐富多彩和便捷。當前計算機網絡的特點主要有以下幾點：（1）網絡具有快捷性。計算機網絡技術的快速發展，使得各種新技術平臺得到了快速發展，人們通過新技術平臺能夠快速、隨時隨地來進行交流，信息也可以一對一地單獨發展，也可以進行一對多的群發，這樣就會使得人們的信息溝通更為快捷；（2）網絡技術的自由性。由于網絡平臺的特殊性，使得不同身份、不同地位的人們在網絡平臺上可以平等交流，充分表達自己的想法和意見，消除了人們之間的隔閡，極大推動了社會和諧平等的發展。（3）網絡的開放性。隨著共享經濟的發展，網絡變得更為開發，人們的視野眼界也都得到了極大擴展和開放；（4）網絡的互動性。網絡互動和交流平臺為人們提供了更好的溝通方式，使得人們的互動不會受到時間和空間的影響，極大促進了人們彼此之間的溝通和互動；（5）網絡的創新性。網絡技術的不斷發展正是創新的集大成者，促進人們更好掌握新技術和利用新技術，更好地促進技術的創新和發展。

3 計算機網絡安全問題及原因

3.1 網絡安全問題

計算機網絡能夠極大地促進社會各領域的發展和進步，網絡安全問題也與日俱增，越來越嚴重地影響到社會各領域的發展，也嚴重影響到人們的日常生活，例如數據竊取、黑客行為等，也阻礙了社會和經濟的發展[2]。當前計算機網絡安全問題可以歸納為以下幾類：（1）網絡非法入侵。其指的是利用計算機技巧來非法訪問網站的行為，網絡入侵能夠對網絡數據進行非法改寫，取得非法權限，更為嚴重的將會導致計算機系統被破壞，從而使得計算機系統不能正常運行；（2）后門和木馬程序。后門和木馬是網絡黑客慣用的手段，通過為硬件設備留有的后門來進行硬件的入侵，通過木馬來遠程控制用戶的計算機。（3）計算機病毒。其指的是在計算機正常程序中加入特定的能夠自我復制的程序代碼，使得用戶的計算機軟件系統容易被攻擊，造成網絡系統的崩潰。除此之外，網絡安全問題還包括垃圾郵件、對加密算法的攻擊、數據竊取、數據竊聽等問題。

3.2 網絡安全問題產生原因

網絡安全問題的發生并非偶然。主要有以下幾種原因：（1）設計思想導致網絡缺陷。由于計算機網絡開發之初只注重系統的穩定性和可用性，但是計算機網絡安全性卻沒有得到應有的重視，這就導致在計算機設計之初其安全設計欠缺，使得計算機網絡容易被監聽、欺騙、篡改等網絡攻擊問題，來隨意攻擊網絡；（2）硬件問題。計算機硬件是否安全可靠，硬件參數等都直接關系著網絡安全問題的出現[3]。此外，軟件設計缺陷，軟件漏洞也能夠引起網絡安全問題；（3）病毒和木馬程序。其引起的網絡安全問題也較為突出；（4）缺少網絡維護。計算機網絡需要不斷更新軟硬件補丁，需要不斷進行日常維護、數據備份等工作，才能做好網絡的維護，才能有效避免網絡安全問題。

4 防火墻技術概述

防火墻分為硬件防火墻(Firewall)和軟件防火墻(WAF)。硬件防火墻是借助硬件設備隔離內網和外網，硬件設備中配置一定的防御策略，用以阻隔外網中不安全的訪問或非法攻擊，進而達到保護內網的作用，硬件防火墻允許合法信息訪問內部網絡，阻止非法信息訪問內部網絡；軟件防火墻則主要以綠盟科技、長亭科技等互聯網企業研發的WAF為代表，軟件防火墻主要通過添加各類防御規則保護軟件安全，如通過or、and、select等規則與非法注入特征匹配，一旦匹配到非法特征值，則判斷該訪問為非法訪問或Seq注入等。

防火墻有諸多功能：（1）有效的保護屏障。無論是硬件防火墻或軟件防火墻，其均可以有效保護企業內網的網絡安全，將非法訪問和惡意攻擊屏蔽在內網以外，從而有效避免內網被非法入侵。此外，防護墻會將拒絕入侵的報文以日志的形式展示給防護墻管理員，使網絡管理人員及時知曉非法入侵；（2）防火墻有助于強化網絡安全策略。防火墻并非只是簡單的防御設備，管理人員會在防火墻上配置多種安全防御策略；（3）防火墻可以有效防止內部信息的泄露。防火墻可以有效保護內部網絡的隱私信息，對高級的黑客而言，即使是很小的細節也可能成為引起網絡安全的導火索，而防火墻可以實現內部網段合理隔離，從而限制局部重點或敏感網絡安全問題對全局網絡所造成的影響。

目前市場上主要有3種防火墻類型：（1）數據包過濾型防火墻。其主要方式是在防火墻中配置過濾規則。防火墻會對訪問內網的數據包進行過濾，過濾主要是規則匹配的過程，若訪問數據包與過濾規則匹配成功，則將其判定為非法訪問包，否則允許該訪問通過；（2）應用代理型防火墻。應用代理型防火墻有效地隔絕著內部網絡與外部網絡。防火墻作為代理設備，代理服務則運行在防火墻上，一般是一種專門的應用程序，代理集成了數據包過濾和分發的功能，其將過濾后的數據包轉發到實際的服務上，而不會經過內網和外網；（3）混合型防火墻。混合型防火墻也稱為堡壘機，是將防火墻的代理功能和過濾功能集合在一起，借此提高防火墻的靈活性并增加其防御性。當然，任何防火墻都不可能完全地抵御所有的攻擊，這就需要相關的技術型人才深入探究防御技術，使其可以滿足多種非法的攻擊。

5 防火墻技術在網絡安全防范中的應用

5.1 防火墻和IDS結合聯動技術

防火墻在最初投入使用時極大地提高了網絡安全，但隨著攻擊技術的提升，防火墻技術逐漸暴露出不足之處。例如，防火墻是靜態防御，因此其無法對實時攻擊和異常行為做判斷和反應；再如，網絡內部的襲擊完全無法被防火墻識別，入侵檢測系統雖然可以及時有效地監聽網絡數據，并判斷攻擊企圖，入侵檢測系統針對系統整體，包括有系統內部網絡和外部網絡，因此其一定程度可以彌補防火墻技術的不足。當然，入侵檢測系統也存在諸多不足，如其雖然可以實時檢測攻擊并報警，但無法真正有效阻止攻擊。防火墻技術的側重點是控制，入侵檢測系統的側重點是對入侵信號的檢測，因此兩者的結合可以極大程度體現兩種方式的優勢。

將兩者結合起來運行，防火墻可以通過入侵檢測系統及時準確地發現僅依靠防火墻無法識別的攻擊行為，而入侵檢測系統則可以通過防火墻及時阻斷外部網絡的攻擊行為，兩者結合聯動技術有效解決了兩者相互的劣勢。

防火墻是計算機網絡系統中最直接的網絡防護措施，企業網絡管理工作人員要高度重視防火墻的應用，對防火墻的相關設置要不斷調試，以保證最佳的網絡配置。此外，要對網絡數據進行實時監控，充分發揮防火墻關于數據包的排查功能，根據企業網絡的要求，要對防火墻設置正確的安全過濾配置，以保障企業網絡的安全。

5.2 代理服務器的應用

代理服務器是防火墻技術的應用之一，通過代理服務器為計算機提供網絡代理，使真實網絡地址不被發現，順利完成信息交互。計算機IP信息的泄露往往發生在內網傳輸到外網的過程中，IP信息被網絡黑客解析并跟蹤，計算機的數據信息很容易被竊取。使用代理服務器，網絡黑客只能解析虛擬IP，不會獲取任何真實信息，從而保護內網信息。代理服務器在控制內外網信息的交互過程中起到中轉作用，同時在賬號管理、信息驗證上具有明顯的優勢。另外，公司或企業可以把內部用戶對外網的SSL訪問信息先轉到內部的代理服務器，進行分析確認安全后再轉發外網，在內部進行對加密數據包的審計分析，避免黑客利用SSL加密把內部的數據取走。

5.3 包過濾技術的應用

包過濾技術是具有信息選擇特質的防火墻，本地電腦在獲取傳輸信息后，比對相應的安全注冊表，依據此判斷傳輸信息是否安全。包過濾技術首先要獲取傳輸信息的目的IP，并據此解析目的IP數據，將數據包與用戶安全注冊表進行對比，識別數據是否含有威脅信息，確認安全后，再將數據包傳輸到計算機中。該技術將計算機分為內、外網兩類路徑，首先在內到外的信息傳輸中，限制危險信息傳出。在由外到內的傳輸過程內，限制傳輸主機信息的安全性非法訪問內部網絡或計算機。在應用上，包過濾技術可以應用在計算機主機與路由器上，根據計算機網絡中局域網進行選擇，提供對應安全服務。

6 結語

綜上所述，網絡攻擊技術在不斷提高，網絡安全防范任重而道遠。有關部門要高度重視網絡安全問題的影響，充分利用當下的新技術和新策略來預防和解決網絡安全問題，使得網絡健康、安全的發展。此外，各個互聯網企業要針對不斷出現的網絡安全新問題進行及時的研究，積極開發新的網絡安全技術和新策略來進行應對，從而進一步保障網絡安全的發展，進而有效促進社會各領域的健康、快速的發展。